Sektorspecifikke efterlevelsesguider til EU AI Act for sundhedssektoren, HR, den offentlige sektor, transport, forsikring, detailhandel, SMV'er og uddannelse.
Hvordan sektoren påvirker EU AI Act-eksponeringen
EU AI Act er horisontal lovgivning — den gælder for AI-systemer, der bringes i omsætning eller ibrugtages i samtlige sektorer af den europæiske økonomi i Den Europæiske Union. Den praktiske efterlevelsesbelastning er dog ikke ens for alle. Sektoren afgør, hvilke højrisikokategorier i Annex III der er relevante, hvilke eksisterende regulatoriske rammer der skaber overlappende forpligtelser, og hvilke nationale eller EU-tilsynsmyndigheder der vil have jurisdiktion over AI-anvendelser.
Loven etablerer en lagdelt risikoarkitektur: forbudte praksisser i henhold til Art. 5, højrisiko-AI i henhold til Art. 6 og Annex III, forpligtelser vedrørende almennyttig AI (GPAI) i henhold til Art. 51 til Art. 55 samt transparensforpligtelser i henhold til Art. 50. Alle sektorer er underlagt forbuddet mod forbudte praksisser og transparenslaget i Art. 50. Højrisikoforpligtelserne i Annex III træder selektivt i kraft afhængigt af, hvilken AI organisationen anvender, og til hvilke formål.
Forståelse af sektormæssig eksponering begynder med at kortlægge operative AI-anvendelsestilfælde op mod Annex III-kategorierne. Organisationer skal desuden vurdere, om anvendt AI udgør en GPAI-model i henhold til Art. 3(63), og om leverandørrelationer skaber forpligtelser som GPAI-deployer eller -udbyder.
Forståelse af Annex III efter sektor
Annex III i EU AI Act definerer 8 kategorier af selvstændig højrisiko-AI. Hver kategori er knyttet til specifikke brancher og AI-anvendelsestilfælde.
Kategori 1 — Biometri (Tværsektoriel)
Art. 6 sammenholdt med Annex III punkt 1 dækker AI-systemer til biometrisk identifikation og biometrisk kategorisering af fysiske personer. Realtids fjernbiometrisk identifikation på offentligt tilgængelige steder foretaget af retshåndhævende myndigheder er forbudt i henhold til Art. 5(1)(h) — det er ikke blot højrisiko. Efterfølgende biometrisk identifikation og biometriske kategoriseringssystemer anvendt i beskæftigelse, grænsekontrol, retshåndhævelse (inden for tilladte grænser) og adgangskontrol forbliver i højrisikokategorien. Enhver organisation, der anvender ansigtsgenkendelse, fingeraftryksmatchning, stemmegenkendelse eller lignende systemer til konsekvente afgørelser, er inden for anvendelsesområdet.
Kategori 2 — Kritisk infrastruktur (Transport, Energi, Vand)
Annex III punkt 2 dækker AI anvendt som sikkerhedskomponenter i styring og drift af kritisk digital infrastruktur, vejtrafik, vandforsyning, gas, varme og elektricitet. Transportoperatører, elnetoperatører, vandforsyningsvirksomheder og leverandører af digital infrastruktur skal vurdere, om deres AI-systemer er omfattet. Annex I i AI Act skærer også ind her: AI-sikkerhedskomponenter indlejret i produkter reguleret under Annex I (maskiner, køretøjer, udstyr til civil luftfart, jernbanesystemer) er højrisiko i henhold til Art. 6(1) — ikke Annex III.
Kategori 3 — Uddannelse og erhvervsuddannelse
Annex III punkt 3 dækker AI, der afgør adgang til uddannelsesinstitutioner, tildeler elever til uddannelsesforløb, vurderer eksamens- eller testpræstationer, evaluerer læringsresultater, der væsentligt påvirker fremtidige muligheder, og overvåger elevadfærd under vurderinger. EdTech-platforme, universiteter, erhvervsuddannelsesudbydere og eksaminationsorganer skal vurdere deres AI-drevne værktøjer mod disse kriterier.
Kategori 4 — Beskæftigelse og HR
Annex III punkt 4 dækker AI anvendt i rekruttering og udvælgelse (CV-screening, rangordning af kandidater, automatiseret analyse af jobsamtaler), beslutninger om forfremmelse, afskedigelse, opgavetildeling for platformsarbejdere, overvågning af medarbejderadfærd og præstationsevaluering. Denne kategori er blandt de bredeste i omfang — næsten alle organisationer, der anvender AI-assisterede HR-processer, skal vurdere efterlevelse. Forpligtelsen gælder for AI anvendt af arbejdsgivere, vikarbureauer og platforme i gigøkonomien.
Kategori 5 — Væsentlige private og offentlige tjenester (Finans, Forsikring, Sundhedsrelateret, Sociale ydelser)
Annex III punkt 5 er den bredeste kategori og omfatter AI anvendt til kreditvurdering og kreditscoring for fysiske personer, forsikringsrisikovurdering og -prisfastsættelse, vurdering af berettigelse til offentlige ydelser og sociale tjenester samt beslutninger om udrykningsdisponering. Denne kategori berører direkte banker, forsikringsselskaber, offentlige myndigheder og udbydere af sociale tjenester. Sundhedsrelateret AI, der scorer enkeltpersoner for forsikringsberettigelse, er også omfattet, hvilket skaber overlap mellem finansielle tjenesteydelser og sundhedsrelaterede forpligtelser.
Kategorier 6, 7 og 8 — Retshåndhævelse, Migration, Retsvæsenet
Annex III punkterne 6, 7 og 8 er rettet mod offentlige myndigheder og deres teknologileverandører. AI til retshåndhævelse (risikoscoring, recidivpredikation, kriminalitetspredikation, bevisevaluering), AI til migration og grænsekontrol (risikovurdering i asylsager, dokumentverificering, sagsbehandling) samt AI til retsvæsenet og demokratiske processer (retsforskningsværktøjer, valgteknologi) er alle højrisiko. Disse kategorier berører primært politimyndigheder, grænseagenturer, immigrationsdomstole, domstole og deres kontrakterede AI-udbydere.
Sektorguider
Hver af følgende dedikerede guider kortlægger EU AI Acts forpligtelser i forhold til den specifikke regulatoriske kontekst, typiske AI-anvendelsestilfælde og håndhævelsesstrukturen i sektoren.
Sundhed og life sciences
AI i sundhedssektoren opererer i skæringspunktet mellem EU AI Act og forordningen om medicinsk udstyr (MDR) og forordningen om in vitro-diagnostisk medicinsk udstyr (IVDR). AI-systemer, der kvalificeres som medicinsk udstyr, reguleres primært under MDR/IVDR, men forbliver underlagt AI Acts grundlæggende rettigheder og transparensforpligtelser. Annex III punkt 5 omfatter AI anvendt til sundhedsrisikovurdering i forsikring og berettigelse til offentlige ydelser. Klinisk beslutningsstøtte, diagnostisk AI, triageværktøjer til patienter og AI til lægemiddelopdagelse har hver specifikke forpligtelser afhængigt af deres regulatoriske klassifikation.
HR og rekruttering
Annex III punkt 4 placerer næsten alle AI-assisterede HR-processer i højrisikokategorien. CV-screeningsværktøjer, psykometriske vurderingsplatforme, automatiseret videoanalyse af jobsamtaler, systemer til præstationsstyring og AI til arbejdsstyrkeplanlægning skal overholde forpligtelserne for udbydere og deployere. Denne guide behandler arbejdsgiveres forpligtelser som deployere i henhold til Art. 26, krav til datastyring i henhold til Art. 10 samt samspillet med GDPR's restriktioner for profilering.
Den offentlige sektor og retsvæsenet
Offentlige myndigheder er samtidig deployere af højrisiko-AI og de enheder, som nationale kompetente myndigheder vil undersøge mest indgående. Annex III punkterne 5 til 8 dækker samlet set en stor del af den offentlige sektors AI: afgørelse af berettigelse til ydelser, AI til beredskabstjenester, redskaber til retshåndhævelse, systemer til grænseforvaltning og juridisk AI. Denne guide behandler de specifikke forpligtelser for offentlige deployere, transparenskrav for automatiserede afgørelser, der berører borgere, samt samspillet med GDPR og retshåndhævelsesdirektivet.
Transport og kritisk infrastruktur
Transportoperatører skal navigere i både Annex III punkt 2 (sikkerhedskomponenter i kritisk infrastruktur) og Annex I-produktsikkerhedsregulering. AI i systemer til autonome køretøjer, jernbanetrafikstyring, lufttrafikstyring, havnedrift og logistikruting kan udløse højrisikoklassifikation via flere veje. Denne guide behandler samspillet med EASA-regulering, jernbanesikkerhedsdirektivet og bemyndigede organers rolle i overensstemmelsesvurdering.
SMV'er
Små og mellemstore virksomheder er underlagt de samme EU AI Act-forpligtelser som store organisationer, når de er udbydere af højrisiko-AI eller deployere, der anvender højrisiko-AI. Loven indeholder dog proportionalitetsmekanismer. Denne guide forklarer muligheder for forenklet teknisk dokumentation, adgang til regulatoriske sandkasser i henhold til Art. 57 til Art. 63 samt, hvordan man opbygger et minimalt men juridisk tilstrækkeligt efterlevelsesprogam. Den behandler også SMV'ers eksponering som deployere af tredjeparts-AI-værktøjer.
Forsikring
AI i forsikringssektoren er underlagt Annex III punkt 5(b) (risikovurdering og prisfastsættelse for livs- og sundhedsforsikring af fysiske personer) og skærer ind i Solvens II's krav til modelgovernance og anvendelse af interne modeller. AI til prisfastsættelse inden for motor-, sundheds-, ejendoms- og livsforsikring, tegningsafgørelsesværktøjer og automatiserede skadesafviklingssystemer kræver alle vurdering. Denne guide behandler EIOPA's og de nationale forsikringstilsynsmyndigheders roller alongside NCA-rammen i AI Act.
Detailhandel og callcentre
Detailhandel og kundeserviceoperationer berøres primært af Art. 50's transparensforpligtelser — oplysningspligt vedrørende AI-genereret indhold, identifikation af chatbots og mærkning af deepfakes — og af beskæftigelsesrelateret AI i henhold til Annex III punkt 4. Systemer til følelsesregistrering anvendt i kundevendte sammenhænge er eksplicit reguleret. Denne guide behandler AI i detailhandel online, anbefalingsmotorer, automatiseret kundeservice og arbejdsstyrkestyring i kontaktcentre.
Uddannelse og EdTech
Annex III punkt 3 placerer uddannelses-AI i højrisikokategorien, hvor den afgør eller i væsentlig grad påvirker adgang til uddannelsesforløb eller evaluerer resultater. Denne guide behandler forpligtelserne for EdTech-udbydere, universiteter, erhvervsuddannelsesinstitutioner og offentlige eksaminationsmyndigheder. Den dækker adaptive læringsplatforme, proctoring-software, automatiseret opgaveretning og forudsigelsesværktøjer til elevrisikovurdering.
Finanssektoren (Bankvirksomhed)
Banksektorguiden behandler Annex III punkt 5(b)-kreditscoring og kreditvurdering, AI til svindeldetektering, algoritmiske handelssystemer, AML/KYC-værktøjer og robo-rådgivningsplatforme. Den undersøger, hvordan EU AI Acts forpligtelser lægges oven på DORA, MiFID II, CRR/CRD og EBA-retningslinjerne. Samspillet mellem AI Acts krav til modelgovernance og de eksisterende rammer for modelrisikostyring under EBA's retningslinjer er et centralt fokusområde.
Tværgående forpligtelser
Adskillige forpligtelser i EU AI Act gælder uanset sektor. Alle organisationer, der opererer i EU, skal forstå disse grundlæggende krav.
Forbudte praksisser — Art. 5
Art. 5 indeholder absolutte forbud, der er trådt i kraft fra 2. februar 2025. Disse gælder for alle sektorer uden undtagelse: subliminale manipulationsteknikker, der forvolder skade, udnyttelse af fysiske personers sårbarhed, social scoring foretaget af offentlige myndigheder, realtids fjernbiometrisk identifikation af retshåndhævende myndigheder på offentlige steder (med forbehold for snævre undtagelser), følelsesregistrering på arbejdspladser og i uddannelsesinstitutioner (uden for specificerede anvendelser), biometrisk kategorisering ved hjælp af følsomme karakteristika samt prædiktiv politiindsats baseret udelukkende på profilering. Ingen sektorspecifik undtagelse tilsidesætter disse forbud.
Transparensforpligtelser — Art. 50
Art. 50 kræver, at udbydere og deployere af AI-systemer, der interagerer med fysiske personer, oplyser om interaktionens AI-karakter. Dette gælder chatbots, virtuelle assistenter, automatiserede callcentersystemer og ethvert AI-system, der er designet til at fremstå som menneskeligt. AI-genereret indhold — syntetiske medier, deepfakes, tekst — skal mærkes maskinlæsbart. Disse forpligtelser gælder for detailhandel, finansielle tjenesteydelser, patientvendte sundhedsværktøjer, borgerservices i den offentlige sektor og enhver anden sektor, der anvender konversations- eller generativ AI.
GPAI-modelforpligtelser — Art. 51 til Art. 55
Organisationer, der anvender GPAI-modeller — store sprogmodeller, fundamentmodeller, multimodal AI — skal vurdere, om de er deployere af en tredjeparts GPAI-model eller udbydere af et GPAI-integreret system. GPAI-udbydere har forpligtelser i henhold til Art. 53 (transparens over for downstream-udbydere, ophavsretspolitik, resumé af træningsdata). GPAI-modeller med systemisk risiko har yderligere forpligtelser i henhold til Art. 55. Alle sektorer, der anvender kommercielle fundamentmodel-API'er eller selvhostede fundamentmodeller, skal vurdere disse forpligtelser.
SMV'er og proportionale forpligtelser
SMV'er udgør majoriteten af EU's virksomheder og en voksende andel af AI-systemudbydere og -deployere. EU AI Act skaber ikke en generel SMV-undtagelse, men Art. 9(5), Art. 11 og Art. 16 kræver, at udbyderforpligtelser er proportionale med organisationens størrelse og kapacitet.
Rammen for regulatoriske sandkasser (Art. 57 til Art. 63) er specifikt udformet til at give SMV'er og startups adgang til overvågede udviklingsmiljøer, reduceret regulatorisk usikkerhed og direkte adgang til vejledning fra nationale kompetente myndigheder. Deltagelse garanterer ikke efterlevelsesklarering, men giver en struktureret vej til markedsadgang for innovative AI-produkter.
For SMV'er, der agerer som deployere af højrisiko-AI leveret af en tredjepart, gælder forpligtelserne i Art. 26 — vurdering af anvendelsestilfældet, implementering af menneskelig overvågning, konsekvensanalyse vedrørende grundlæggende rettigheder. Omfanget af påkrævet dokumentation og overvågning er proportionalt, men de juridiske forpligtelser er ikke fraveget.
Den dedikerede SMV-guide indeholder en efterlevelseskøreplan tilpasset mindre organisationer og dækker prioritering, minimal men tilstrækkelig dokumentation, leverandørbevis og procedurer for sandkasseadgang.
Håndhævelse
EU AI Act skaber en lagdelt håndhævelsesstruktur med betydelige sektorspecifikke dimensioner.
Nationale kompetente myndigheder
Hver EU-medlemsstat udpeger en eller flere nationale kompetente myndigheder (NCA'er) i henhold til Art. 70. NCA'erne er ansvarlige for at godkende regulatoriske sandkasser, udføre markedsovervågning, modtage data fra udbyderes overvågning efter markedsføring, undersøge formodede overtrædelser og pålægge administrative bøder i henhold til Art. 99 til Art. 101. Maksimale bøder når op på 35 millioner euro eller 7 % af den globale årlige omsætning for overtrædelser af de forbudte praksisser i Art. 5.
Sektorregulatorer som markedsovervågningsmyndigheder
Art. 74(8) og Art. 74(9) giver sektorregulatorer mulighed for at fungere som markedsovervågningsmyndigheder for AI inden for deres områder. Den Europæiske Banktilsynsmyndighed (EBA), Den Europæiske Tilsynsmyndighed for Forsikrings- og Arbejdsmarkedspensionsordninger (EIOPA), Den Europæiske Værdipapir- og Markedstilsynsmyndighed (ESMA), Det Europæiske Lægemiddelagentur (EMA) og Den Europæiske Unions Luftfartssikkerhedsagentur (EASA) har hver især roller i at føre tilsyn med AI inden for deres regulatoriske perimeter. Dette skaber dobbelt håndhævelseseksponering: Et pengeinstituts kreditscoring-AI kan undersøges af både en national finansregulator, der anvender Annex III-forpligtelserne, og af en NCA, der udfører markedsovervågning under AI Act.
Det Europæiske AI-kontor
Det Europæiske AI-kontor, oprettet i henhold til Art. 64 til Art. 70, har direkte håndhævelsesbeføjelse over udbydere af GPAI-modeller. For organisationer, der anvender GPAI-modeller med systemisk risiko, er AI-kontoret den primære regulatoriske modpart — ikke den nationale NCA. Sektorregulatorer har ingen direkte jurisdiktion over GPAI-modeller som sådan, selv om downstream-AI-systemer, der integrerer GPAI, fortsat er underlagt nationalt og sektormæssigt tilsyn.
Håndhævelsestidsplan
Forbuddet mod praksisser i henhold til Art. 5 har været gældende siden 2. februar 2025. GPAI-forpligtelserne i henhold til Art. 51 til Art. 55 trådte i kraft 2. august 2025. Fulde forpligtelser for Annex III højrisiko-AI-systemer — der dækker alle otte kategorier og alle udbyders og deployeres pligter — finder anvendelse fra 2. december 2027 (forlænget fra den oprindelige frist den 2. august 2026 ved 2025 Digital Omnibus-ændringen). Organisationer i alle sektorer bør betragte perioden frem til december 2027 som et aktivt efterlevelsesvindue — ikke en henstandsperiode.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Ja. EU AI Act gælder ensartet i hele EU, men de praktiske konsekvenser varierer betydeligt fra sektor til sektor. Forordningens Annex III kortlægger højrisiko-AI-kategorier direkte mod brancher — AI i beskæftigelse er rettet mod HR og vikarbureauer, AI til kreditvurdering er rettet mod finans og forsikring, og biometriske systemer er rettet mod retshåndhævelse og grænsekontrol. Operatører i stærkt regulerede sektorer (sundhed, finans, transport) står desuden over for, at AI Act lægges oven på eksisterende sektorspecifik lovgivning, hvilket kan udløse yderligere forpligtelser eller kræve koordinering mellem tilsynsmyndigheder.
Sundhedssektoren, finansielle tjenesteydelser og den offentlige sektor har de tungeste samlede forpligtelser. AI i sundhedssektoren skærer ind i forordningen om medicinsk udstyr (MDR) og forordningen om in vitro-diagnostisk medicinsk udstyr (IVDR); AI i finanssektoren skærer ind i DORA, MiFID II og Solvens II; offentlig sektors AI berører Annex III kategorierne 5 til 8 (væsentlige tjenester, retshåndhævelse, migration og retsvæsenet). Hver af disse sektorer skal overholde både EU AI Acts ramme og den eksisterende sektorregulering, og visse forpligtelser gælder samtidigt.
SMV'er er ikke undtaget, men loven indeholder proportionale foranstaltninger. Art. 9(5) kræver, at risikostyringssystemer er proportionale med udbyderens størrelse og art. Art. 11 og Art. 16 giver mulighed for forenklet teknisk dokumentation for SMV'er. Art. 57 til Art. 63 opretter regulatoriske sandkasser, som SMV'er kan få adgang til under den nationale kompetente myndigheds tilsyn. Deployeringsforpligtelser i henhold til Art. 26 gælder også for SMV'er, der anvender højrisiko-AI, om end med lettere proceduremæssige krav end for udbydere.
Art. 70 til Art. 77 i EU AI Act etablerer en flerlaget håndhævelsesstruktur. Hver medlemsstat udpeger en national kompetent myndighed (NCA), der er ansvarlig for håndhævelse af AI Act. Når AI-systemer opererer i regulerede sektorer — finansielle tjenesteydelser, sundhed, luftfart, jernbane — koordinerer sektorspecifikke regulatorer (EBA, EIOPA, ESMA, EMA, EASA) med NCA'erne. Det Europæiske AI-kontor varetager det centrale tilsyn med GPAI-modeller. Denne parallelle struktur betyder, at et pengeinstituts AI-system kan auditeres af både en NCA og en finanssektorregulatorer, der anvender forskellige men overlappende rammer.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.